Allowing Ping through Cisco SDM Firewall

اخواني الاعضاء الكرام ،،

السلام عليكم و رحمة الله و بركاته .

فبعد ما قمت بتأمين راوتر في العمل مواجه للانترنت باستخدام SDM و اختيار عمل Firewall له ، اردت السماح لل ping بالوصول للراوتر و ذلك من أجل تسهيل عملية ال Troubleshooting في حال حدوث أي مشكلة .

ملاحظة : كل أنماط ال Firewall باستخدام ال SDM سواء كانت High , Medium or Low بتقوم By Default بمنع أي اتصال من أي نوع في الاتجاه من الخارج ( العالم الخارجي بالنسبة للراوتر ) الى الراوتر نفسه أو الى اداخل ( ال LAN الخاصة بشبكتك ) و تقوم بعمل inspect لل Data الخارجة من الراوتر نفسه و من الداخل الى الخارج و ذلك من أجل السماح لهذه ال data فقط بان تتلقى أي رد من الخارج ( هذه فقط الحالة التي يسمح ل data العالم الخارجي بالوصول للداخل )

دلوقتي و أنت ماشي في ال wizard بتاع FW في ال SDM بتحدد ال interface المواجه للعالم الداخلي و الخارجي و فيه Check Box تحتها بتختاره للسماح بالاتصال الامن للراوتر من العالم الخارجي ( بمعنى استخدام SSH & HTTPS ) للوصول للراوتر ، و في الشاشة اللي بعدها بتحدد ما هي العنواين المسموح لها بهذا الاتصال ( من رأيي انك تختارها any , أي كل العناوين ، و تضع username و password قوية )

الطريقة اللي هكتبها هي الاوامر اللي تسمح للعناوين ده فقط بانها تعمل ping على الراوتر ، و الحمد لله قمت باستنتاجها من تفحص الاوامر اللي بيقوم SDM بارسالها للراوتر بعد عمل ال FW .

ممكن الوصول لنفس النتيجة باستخدام ال SDM و التعديل به لكن بالنسبة لي احيانا كانت بتعمل لي شوية قلق ، مرة تشتغل و مرة ما تشتغلش فاستنتجت الاوامر ده و كتبتها عشان الجميع يستفيد و عشان لو حد احتاج انه يستخدمها بعد كده .

اللي فات ده كله كان تمهيد للاوامر و اتمنى ان ما حدش يكون تاه مني :D .

اسيبكم مع الاوامر :

ملاحظة هامة : هذه الاوامر تكتب باستخدام CLI بعد ما يقوم ال SDM بارسال اوامر ال FW الى الراوتر .

ip access-list extended SDM_PING
remark SDM_ACL Category=1
permit tcp any any eq 7

permit icmp any any

exit


class-map type inspect match-any SDM_PING
match access-group name SDM_PING
exit


class-map type inspect match-any sdm-cls-access
match class-map SDM_PING
match protocol icmp
match protocol tcp
match protocol udp
exit

اتمنى من اللي استخدم الاوامر و افادته في حياته أو حتى ما استخدمهاش و ما فادتهوش أن لا ينسى الدعاء لي .

اخوكم / ماجد

جزاك الله خيرا

مشكور اخي

يا اختراعاتك يا عم ماجد

فينك يا راجل من the man :D

يارب تكون بصحة جيدة

وما تحرمناش من مشاركاتك الرائعة


وجزاك الله كل خير

الف شكر ياباشا مشاركة جامدة بس والله انا لو منك كنت استخدمت CLI على طول بدل من SDM لان بجد بتخنق منه :D

كان عندك حلين يا اما استخدمت CBAC وعملت inspection rule على internal interface و Deny ACL على outside interface وممكن تسمح من خلالها ب icmp
https://www.cisco.com/en/US/products...80094e8b.shtml

والحل التانى اذا كانت ios لديك تسمح ب Zone-Based firewall ممكن كنت استخدمتها ايضا
https://blog.internetworkexpert.com/...wall-overview/

وبالتوفيق ،،،
:) :)

ممتاز يا باشا
بس ليه معملتش البينج مخصص لرنج اي بي معين عشان تضمن محدش من الناس اللي ريحه واللي جيه تعمل عليك بينج
ويتم عمل اتاك عليك ؟؟؟
زي ان حد يبعت بالاي بي بتاعك بينج علي برود كاست نتورك
اوعي تخاف انا بس بقولك رائي بمأنك مظبط السكيورتي عندك
مستني ردك وتوضيحك يا باشا
اخوك
محمد عادل

بارك الله فيك

شكرا اخواني على مروركم الجميل و ان شاء الله تكونوا استفدتم .

اقتباس:

---

المشاركة الأصلية كتبت بواسطة ahab

يا اختراعاتك يا عم ماجد

فينك يا راجل من the man :D

يارب تكون بصحة جيدة

وما تحرمناش من مشاركاتك الرائعة


وجزاك الله كل خير

---

أنا موجود يا معلم ايهاب ، بس انت اللي ما بتدورش كويش .:D

تسلم على السؤال .

اقتباس:

---

المشاركة الأصلية كتبت بواسطة frozenEyes

الف شكر ياباشا مشاركة جامدة بس والله انا لو منك كنت استخدمت CLI على طول بدل من SDM لان بجد بتخنق منه :D

كان عندك حلين يا اما استخدمت CBAC وعملت inspection rule على internal interface و Deny ACL على outside interface وممكن تسمح من خلالها ب icmp
https://www.cisco.com/en/US/products...80094e8b.shtml

والحل التانى اذا كانت ios لديك تسمح ب Zone-Based firewall ممكن كنت استخدمتها ايضا
https://blog.internetworkexpert.com/...wall-overview/

وبالتوفيق ،،،
:) :)

---

تسلم على التوضيح أخي الكريم .

عن نفسي في حكاية ال FW بافضل استخدام ال SDM عشان بيديلك حل متكامل حسب احتياجك بدل ما تقعد تكتب 250 ولا 300 سطر اوامر .

لكن اهم حاجة انك تكون فاهم ايه اللي بيحصل و ازاي حصل و كمان الاهم انك تعرف ازاي تعدل فيه حسب احتياجك .

و بالمناسبة فال FW اللي بيعمله ال SDM هو Zone-Based firewall و الاوامر المذكورة في المشاركة الاولى المفروض بتتكتب بعد ما ال SDM يبعت الاوامر الخاصة بال FW .

اقتباس:

---

المشاركة الأصلية كتبت بواسطة هندسه العاشر

ممتاز يا باشا
بس ليه معملتش البينج مخصص لرنج اي بي معين عشان تضمن محدش من الناس اللي ريحه واللي جيه تعمل عليك بينج
ويتم عمل اتاك عليك ؟؟؟
زي ان حد يبعت بالاي بي بتاعك بينج علي برود كاست نتورك
اوعي تخاف انا بس بقولك رائي بمأنك مظبط السكيورتي عندك
مستني ردك وتوضيحك يا باشا
اخوك
محمد عادل

---

ليه بس القلق ده ، ربنا ما يجيب خوف :D .

الا منه سبحانه و تعالى .

احنا يا دوب لسه بنتعلم و بنحاول نساعد بعضنا على قد ما نقدر .

شوف يا حبيبي ، أنا ما رضتش اخليه لرنج معين لسبب بسيط و هو أني مش هكون عارف ال IP Address بتاعي اللي عمل منه test ( بمعنى انا مثلا دلوقتي في مكة و بعدين مثلا نزلت جدة أو القاهرة و بعدين اتصلوا بيك قالوا لك عندنا مشكلة في الراوتر ده عايزينك تحلها ، فعشان تدخل على الراوتر ده و تعمل عليه test هتعمله من اللابتوب بتاعك اللي متوصل بال DSL و بالتالي فال IP بتاعك هيتغير من مكان لمكان و حسب ظروفك فعشان كده اخترته انه يكون مفتوح )

انما لو عارف باي طريقة ما كل الايبهات اللي ممكن تستخدمها عشان تعمل ال test بتااعك فالافضل طبعا انك تحددها .

ان شاء الله تكون الفكرة وضحت .

متميز يا ماجد

بارك الله فيك ويسر لك

بارك الله فيك وجزاك كل خير